Windows Updater.exe Trojan CoinMiner 分析

更新于 17 days ago

检查者 Malware Check

Windows Updater.exe

技术分析

文件名	Windows Updater.exe
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
扫描器版本	1.0.245.174
数据库版本	2026-05-19 01:00:24 UTC

⚠

Trojan.Win32.CoinMiner.dd!c

恶意软件家族: CoinMiner

CoinMiner恶意软件利用包括CPU和RAM在内的系统资源进行未授权加密货币挖掘。通过启动集成建立持久性，可能使用资源管理技术避免检测，同时挖掘Monero或Zcash等货币。

N/A

检测率

1,807,208

文件大小（字节）

2026-05-19

分析日期

扫描另一个文件

文件识别

哈希类型	值	操作
MD5	a95761cd48552eda9f882cf2e486faf7
SHA1	4ae7cd4b5b13db75eff4192992de7e3b2a145be2
SHA256	365cebf322477d4b75735e00ccc0ee01d88f933865ab08c18222775b75cc36fb
SHA512	d2eab9e7904cff61c03aecf815cdbc5772f82c2ed16660759e7055f01eba77f6e4d453f721a00254dcaead873152be099d187ea0990834b5cda73ccea7cd18f9
ImpHash	3565752c6b2710b68378f456b762aa98

PE 分析

基本信息

▼

图标	哈希: 31ca84214a1c4b2f087e78be6fe197b8 模糊: 3ac92d5dba021b5376a19d2c1509c531 dHash: 861b6f313531473f
映像基址	`0x00400000`
入口点	`0x004e06c0`
编译时间	2025-04-08 12:40:51
校验和	0x001c4169 (实际: 0x001c4169)
操作系统版本	6.0
PEiD 签名	`PE32 executable (GUI) Intel 80386, for MS Windows`
PDB 路径	`C:\ReleaseAI\win\Release\stubs\x86\Updater.pdb`
数字签名	OK
导入	10 库 KERNEL32, USER32, GDI32, SHELL32, ole32, OLEAUT32, gdiplus, SHLWAPI, COMCTL32, UxTheme
导出	0 函数
资源	48 资源
节	7 节

版本信息

▼

CompanyName	AdvancedWindowsManager
ProductVersion	5.0.5
FileVersion	5.0.5
ProductName	Windows Installer
LegalCopyright	Copyright (C) 2025 AdvancedWindowsManager
InternalName	Windows Updater
OriginalFileName	Windows Updater.exe
FileDescription	Windows Updater 5.0.5
Translation	0x0409 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00001000`	1,258,154 bytes	1,258,496 bytes	6.50 (压缩)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`9238523F430C5304A1DF485C30D182A9`
`.rdata`	`0x00135000`	298,924 bytes	299,008 bytes	4.81 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`750E1DC5E13213B6F16DA6C04C021CF4`
`.data`	`0x0017e000`	14,784 bytes	8,704 bytes	3.88 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`D8398E0D0D855B1D1E8B723C028908FA`
`.didat`	`0x00182000`	328 bytes	512 bytes	2.81 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`B8AF8649BEA8E7E6F67D28272CD5B89C`
`.fptable`	`0x00183000`	128 bytes	512 bytes	0.00 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`BF619EAC0CDF3F68D496EA9344137E8B`
`.rsrc`	`0x00184000`	151,608 bytes	152,064 bytes	6.15 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`FBB05E0D7ED1C44737EBB1D60D2B93EB`
`.reloc`	`0x001aa000`	74,996 bytes	75,264 bytes	6.61 (压缩)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`1EDBA2FA823C1C078099D338E6E6AA82`

熵分析警报

2 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 48 (149,006 字节)

资源类型	数量	总大小	百分比
TYPELIB	1	6,416 字节	4.3%
RT_ICON	5	43,887 字节	29.5%
RT_MENU	2	118 字节	0.1%
RT_DIALOG	10	3,152 字节	2.1%
RT_STRING	11	7,602 字节	5.1%
RT_RCDATA	16	84,990 字节	57%
RT_GROUP_ICON	1	76 字节	0.1%
RT_VERSION	1	808 字节	0.5%
RT_MANIFEST	1	1,957 字节	1.3%

证书链分析

▼

无数字签名

此文件未进行数字签名。

安全影响:

无法验证发布者的身份
运行此文件时安全风险增加
可能在某些系统上触发安全警告

⚠ 此文件缺少数字签名或证书链无法验证。
执行来自未知来源的未签名文件时请谨慎。

证书验证状态

Trojan.Win32.CoinMiner.dd!c 移除

Gridinsoft 能够识别并消除 Trojan.Win32.CoinMiner.dd!c，无需用户进一步干预。

下载反恶意软件

移除说明

按照以下步骤完全从系统中移除威胁

1
获取 Gridinsoft Anti-Malware — 这是一个快速的 2 MB 下载，不会拖慢您的电脑。
2
运行安装程序 gsam-zh-install.exe。安装大约需要 2 分钟，不需要重启。
3
应用程序在安装后立即启动。您将看到主仪表板，扫描按钮位于中央。
4
点击 "标准扫描" — 这将检查恶意软件通常隐藏的所有位置：临时文件夹、浏览器数据、启动程序和系统目录。
5
扫描发现这个威胁后，点击 "立即清理"。清除通常是即时的，但一些顽固的感染可能需要重启。
6
如果看到重启提示，请重新启动。这将清除内存中运行的任何恶意软件，确保系统干净启动。

重要提示：开始之前

快速提示：扫描前断开互联网。某些恶意软件会联系服务器获取指令或在感知到问题时下载额外组件。如果感染严重，请先启动到安全模式 — 这会限制可运行的程序，使清理更容易。

发表评论

分享您对此文件的想法或见解。您是否同意我们的结论？

您的反馈可能会影响我们的评级。您的电子邮件将保密，仅在必要时用于与您联系。

Signed in via Gridinsoft Portal · View profile

您对的评分

5 4 3 2 1

Gridinsoft Anti-Malware

保持无恶意软件：使用 Gridinsoft 反恶意软件 保护您的 PC

Gridinsoft 反恶意软件正是如此——提供强大、用户友好的解决方案，让您安心，并不断更新以应对最新威胁。由网络安全专家设计，它提供实时保护和轻松删除恶意软件。这不仅仅是检测威胁；它是通过不间断的安全来增强您的数字生活。试一试，体验无忧浏览的感觉！

Gridinsoft Anti-Malware 现在试试